151
総務省も慌てたのだろうが自治体向け通知で物理・磁気破壊に限定したのは勇み足。暗号化HDDなら鍵を飛ばせば済む話だし、リサイクルの関係もありツールによるデータ消去が最初から契約されている場合もあるだろう。 / “HDD処分、業者任せの現実 自治体苦悩「信じるしか…” htn.to/2ckS64xbKN
152
“神奈川県庁が使っていたHDDの処分に関して、ブロードリンクと富士通リースはデータ消去の完了時に完了報告書を提出する契約になっており、実際に同庁へ提出した” おいおい…端的に言って偽造やないか… / “HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 …” htn.to/3Pamd9Kq6m
153
"同容疑者がオークションに出品して落札されたものは7844個で、このうち記憶媒体が3904個" こんなに取られてても気づかない管理体制で、他の人たちも同じことをやってなかったかどこまで調べられるかねぇ… / “ブロードリンク社長「心より深くおわび」 辞任の意向…” htn.to/4rbxbWgGBH
154
“厚木市と伊勢原市、綾瀬市はHDDのデータ消去にあたり、「厳格な米国防総省の基準に沿って実施している」などと説明する。”米軍DoD5520規格はとっくに無効やで。今はFIPS SP800-88Rev.1。1回上書きで十分とされてる。 / “情報流出の内容、県から回答なし 「対策取りよ…” htn.to/3wY133KWSg
155
毎日のようにテラバイト級の情報流出。めまいがするわ。こんな企業でもISO27001取れちゃうんだからザル過ぎるでしょ。多分ISMS審査員はICカード&指紋の入退室管理に騙されてる。記録見てないんだから意味ない。 / “HDD「簡単で毎日のように盗んだ」容疑者、早朝狙いか…” htn.to/99v2cDNrhd
156
入退室管理ちゃんとしてたなら勤務時間外に出入りしてた人は真っ先に疑われるわけで、それが3年間見逃されてたってことは要するにこの会社、入退室ログの定期監査もしてなかったってことだろうね。 / “神奈川県データ流出 逮捕の元社員 早朝にディスク持ち出し | NHKニュース” htn.to/FhxcYgrhtm
157
能力ある人をExcel単純作業で潰した例その1
富士通を退職した話
anond.hatelabo.jp/20160413023627
例その2
Excelにスクリーンショットを貼り付ける仕事で鬱病になった話
dawn2721.hatenablog.com/entry/2019/12/…
これに追い打ちをかけるようなコメが沢山つくのを見ても、日本が専門性軽視で同調圧力の強い社会とわかる…
158
特にAIやらIoTやらBigDataやらが世界を席巻する世の中になっても、日本のIT系大企業が人手が足りないから頭数揃えろと雑な雇用してて、また雑に社内育成と配属を行っているのはマジやばい。旧帝大情報系修士や理学系修士を上流工程Excel単純作業に放り込んで潰してるのを見るのは絶望しかない。
159
“専門性よりも人柄を重視する雇用慣行”ほんと諸悪の根源がこれ。専門性も大学での成績も見ず人柄と卒業大学ばかり見てる。学生も就職セミナーでコミュ力ばかり強調されるので部活やバイトばかり精を出す悪循環。 / “「博士」生かせぬ日本企業 取得者10年で16%減: 日本経済…” htn.to/JQ5JwJcn8C
160
2016年以降の出品数は約4700件ってことなのでヤフオクの評価5000越えの理由はわかったが、それ以前の年100件とうのも個人としてはかなり多い。何売ってたか洗っておいた方がよさそう。
161
ひゃー!すごい数。これだけ持ち出されても気づいてないブロードリンクの管理体制が問われるな。これは会社の責任で落札者に連絡とるなりして回収や消去依頼して欲しいところなのだが、それ以前に会社が飛びそう… / “容疑者のHDD出品、入社後急増 落札総額1200万…” htn.to/2VMLANDtrq
162
匿名掲示板の内部告発系スレは恨みから来る盛った話もあると思った方が良いけれども、事故がある程度の信憑性を裏付けちゃいましたなぁ / “「世界最悪級の流出」ブロードリンク社の2chスレを見ると事件は起こるべくして起こったことがわかる - アンテナ開発者ブログ” htn.to/4gASJGy8Tj
163
暗号化で性能低下があり補おうとするとコストがかかって廃棄コスト低下分を補いきれないからというならまだわかる。他にも、暗号化するとストレージ障害時に対応が面倒になるというデメリットもある。その辺は運用コスト等に深く関わってて結局は発注者にしか評価できない。発注側がしっかりしないと。
164
「契約当時は大量のHDを暗号化する技術がなかった」んなわけない。リースなんだからせいぜい5年前でしょ。こういうところで担当とか業者のレベルが知れてしまう。だから発注側に技術がわかる人間が必要なんです。 / “東京新聞:物理的盗難「想定外だった」 県の文書 保存…” htn.to/3enVs5Ac8v
165
日常的に抜いて転売してたんだろうな。入社4年目、2016年3月から始めたという供述が正しければ割とすぐだな。その前の職でも似たようなことやってないか心配。神奈川県だけでは済まない。影響はどこまで広がるかな… / “HDD転売の50代社員、窃盗容疑で逮捕 警視庁:…” htn.to/33dwSraFTg
166
あと内閣府サーバの件と絡めてる人が早速いるが、性質が全く違うからね
内閣府サーバの場合ファイル単位で消去された後にサーバを継続使用してるんでデータが上書きされて消えてる可能性が高い
神奈川県サーバの場合使用終了時にファイル削除せず簡易消去(多分フォーマット)しただけなので復活が簡単
167
ちなみにちゃんと消去したかどうかってのは普通消去業者が証明書の形で出すんだがそこが信用できないってので、データ適正消去の第三者証明をするための団体があります。
adec-cert.jp
自分ところで消去できないっていうなら、ここの会員企業に依頼することになるのかなと。
168
HDDはやっぱり廃棄時に正しく消去したいが容量が増えて大変になってる。一番お手軽なのはBitlockerなどの暗号化をしておいて処分時に鍵を飛ばすことですよ。もちろん破砕処理が確実だけど金も手間も大変だからね。特に公共機関はその辺をちゃんと自分で調達仕様に書けるようにしてほしいね。
169
神奈川県のシステムのリース終了時にHDDが正しく消去されず、リースバックを引き取って処分する業者の社員が抜き取って転売。リースは富士通、廃棄受託はブロードリンク、どっちも大手なのに何を信用したもんだか。 / “【独自】行政文書が大量流出 納税記録などのHDD転…” htn.to/3H2VR6cN4A
170
ひえーたまったもんじゃないな復旧不可ってどんなバグやねん…それにしてもSMARTで返すような起動時間を16bit整数値なんかで保存してるもんなんかなぁ? / “HPEのサーバー向けSAS SSD、稼働32,768時間超えでデータ喪失。復旧も不可 - PC Watch” htn.to/2kdUKWXwxA
171
取材いっぱい来てますけどねシンクライアントのコト聞くの本当勘弁して欲しい
新聞社やテレビ局って本当にどこにもシンクラ入ってないの?管理体制心配やわ
とりあえず講義で使ってるスライドを貼る
slideshare.net/tetsutalow/ss-…
で要するに今回の件はシンクラは関係ない
ファイルサーバの管理問題だけ
172
@n_soda 公文書管理ってのは、公文書管理簿で管理始めると永久保存と決まらない限りは年限が決まるので、逆に年限が来たら廃棄すべしということで紙もデジタルも同時に消さないといけないんですよね。ざっくりサーバのデータ全部残せって話にならないしできないですよ。特に個人情報ファイルは廃棄義務あるし。
173
あとシンクライアントと聞いてChromebookみたいなもの想像して履歴がどうとかいう人がいるようだけどあれじゃないよ
Windows ServerのRDSと端末の組み合わせで端末に何も残さないやつ
管理上もセキュリティ上も楽になる
昔からあったけど年金機構事件があってから官公庁系で採用が増えてる
174
なんか不思議な議論が飛び交ってるけど、霞が関のLAN系システムなんて4年ごとにリプレースなんだからシンクライアントってのは今の話で2015年当時は違ったと思うよ
昨年末にリプレースしてる
でもどっちにしろサーバにしかファイルはないだろうし2015年当時のシステムはもうないから復元も出来ない
175
業界騒然のEmotet。やばい。一般紙記事にしていただけるのは大変ありがたい(そうでないと動かない経営陣も困るのだけれど) / “最恐ウイルス、感染拡大 メアド盗んでなりすましメール:朝日新聞デジタル” htn.to/JetDdna9FD
ソフトハウスバイト→同経営→京大助手→和歌山大講師→京大助教授→同准教授→総務省で役人→立命館大学教授。その間NPOやってたり。得意分野はシステム管理とか情報セキュリティとかデジタルフォレンジックとか情報教育とかですがICTだいたいどこにでも突っ込みます。でも私のつぶやきは組織の公式見解とは無関係です。